Praėjusiais metais „Google“ klaidų programa suteikė mažiausiai 12 mln. Šis skaičius yra gerokai didesnis nei 8,7 metais išmokėti 2021 mln. Šiuo metu bendrovė plečia savo saugumo tyrimų pastangas nauja programa, skirta trečiųjų šalių programoms Android.
Anksčiau šį mėnesį „Google“ atnaujino „Vulnerability Bounty“ programą Android ir „Google“ įrenginiuose (VRP), pristatant naują pranešimų apie klaidas kokybės vertinimo sistemą ir padidinant maksimalų atlygį už kritinių spragų radimą iki 15 000 USD. Tuo metu bendrovė aiškino, kad tai padės lengviau ištaisyti telefonų saugos trūkumus. pikselių, „Google Nest“ ir „Fitbit“ įrenginiuose, taip pat operacinėje sistemoje Android laiku.
Šią savaitę bendrovė pradėjo „Mobile Vulnerability Rewards“ programą (Mobile VRP), kuri skirta tyrėjams, norintiems ištirti programų saugumą. Android, kurią sukūrė „Google“ ar kitos „Alphabet“ grupei priklausančios įmonės.
Naujoji programa klasifikuoja trečiųjų šalių programas Android trijuose lygiuose. Pirmasis lygis apima svarbiausias programas, tokias kaip Google Play Services, „Google Chrome“, „Gmail“, „Chrome Remote Desktop“, „Google Cloud“ ir AGSA („Google“ paieškos valdiklis Android). Antroji ir trečioji pakopos apima programas, kurias sukūrė „Google“ tyrimų padalinys „Google Samples“, „Red Hot Labs“, „Nest Labs“, „Waymo“ ir „Waze“.
Kalbant apie saugumo spragų tipus, kuriuos apima programa „Mobile VRP“, „Google“ teigia, kad ją labiausiai domina klaidos, leidžiančios savavališkai vykdyti kodą ir pavogti duomenis, todėl bendrovės saugumo inžinieriai šioms ataskaitoms skirs pirmenybę. Tuo pačiu metu bendrovė taip pat nori sužinoti apie kitus saugos trūkumus, kuriuos galima išnaudoti kaip išnaudojimo grandinių dalį, įskaitant kelių ar zip archyvo perėjimo pažeidžiamumą, našlaičių leidimus ir tyčinius peradresavimus, kurie gali būti naudojami neeksportuotiems paleidimams. programos komponentai.
Atlygis priklauso nuo aptiktų pažeidžiamumų ir paveiktų programų sunkumo, o „Google“ yra pasirengusi sumokėti iki 30 000 USD už pažeidžiamumų, leidžiančių užpuolikams vykdyti nuotolinį kodą be vartotojo įsikišimo, atradimą. Didžiausias atlygis už rimtų pažeidžiamumų atradimą 2 ir 3 lygio programos yra 25 000 ir 20 000 USD. Minimali suma už kvalifikuotą ataskaitą yra 500 USD, tačiau „Google“ taip pat gali pritaikyti 1 000 USD premiją už išskirtines ataskaitas.
„Google“ klaidų taisymo premijų programa yra viena didžiausių technologijų pramonėje – vien 2022 m. saugumo tyrinėtojams išmokėta 12 mln. USD. Didžiausias atlygis – 605 000 USD ekspertui, atradusiam išnaudojimų grandinę iš penkių pažeidžiamumų. Android.
Saugumo tyrinėtojai, besidomintys Mobile VRP, daugiau informacijos gali rasti čia čia. „Google“ teigia, kad ataskaitos turi būti glaustos ir, jei įmanoma, turi apimti trumpą koncepcijos įrodymą – kai kurias gaires, kaip geriausiai pateikti ataskaitas apie klaidas, rasite čia čia.
Taip pat skaitykite:
- Samsung nusprendė palikti „Google“ kaip numatytąjį paieškos variklį
- 2GIS buvo pašalintas iš „Google Play“.